Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Bloomreach

Que fait Bloomreach ?

Bloomreach est une plateforme d'expérience commerce combinant une Customer Data Platform (Engagement, anciennement Exponea), une recherche IA (Discovery) et un CMS headless (Content). Bloomreach Engagement suit les visiteurs via des cookies SDK JavaScript (__exponea_etc__, xnpe_<project-id>) et traite des données personnelles étendues pour la personnalisation, les tests A/B, les campagnes email et le profilage client. Siège aux États-Unis avec options d'hébergement UE.

Qu'est-ce que Bloomreach ?

Bloomreach est une plateforme d'expérience commerce qui combine trois produits principaux : Bloomreach Engagement (une Customer Data Platform, anciennement Exponea), Bloomreach Discovery (recherche et merchandising IA) et Bloomreach Content (un CMS headless, anciennement Bloomreach Experience Manager). Bloomreach Engagement est le composant le plus intensif en données, permettant le profilage client en temps réel, le suivi comportemental, les campagnes email et push, les tests A/B, les web layers et les recommandations produits personnalisées. La plateforme est utilisée par de grandes marques ecommerce et traite d'importants volumes de données personnelles.

Cookies et données collectées par Bloomreach

Bloomreach Engagement utilise un SDK JavaScript qui dépose plusieurs cookies. Le cookie de tracking principal est __exponea_etc__, un cookie first-party côté client qui stocke l'identifiant unique du visiteur (expiration par défaut : 3 ans, soumis à la limitation ITP de Safari à 7 jours). Le cookie __exponea_time2__ gère la synchronisation temporelle entre le client et le serveur. Un cookie serveur xnpe_<project-id> est déposé par l'API Bloomreach (api.exponea.com) comme cookie tiers, sauf si un Custom Tracking Domain (CTD) est configuré pour le rendre first-party. Le cookie agit comme un « soft ID » qui suit toutes les actions du visiteur et est lié à un « hard ID » (email, compte) lorsque le visiteur s'identifie. Bloomreach traite également les adresses IP, les informations de l'appareil, le comportement de navigation, l'historique d'achats et les données d'événements personnalisés.

Implications RGPD et ePrivacy

Bloomreach Engagement soulève d'importantes préoccupations RGPD et ePrivacy. La plateforme effectue un profilage client étendu en reliant les sessions de navigation anonymes aux profils clients identifiés, en suivant le comportement sur plusieurs appareils et en construisant des profils visiteurs détaillés pour la personnalisation et le marketing. En vertu de la directive ePrivacy, un consentement explicite est requis avant de déposer des cookies de tracking et d'accéder aux informations sur l'appareil de l'utilisateur. En vertu du RGPD, une base légale (typiquement le consentement) est requise pour le traitement des données personnelles à des fins de profilage et de marketing. Bloomreach, Inc. a son siège aux États-Unis, ce qui signifie que les transferts de données vers les US nécessitent des garanties appropriées telles que les Clauses Contractuelles Types (CCT).

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Gestion du consentement et base légale

Bloomreach Engagement inclut un système de gestion du consentement intégré avec trois catégories : consentement général, consentement spécifique et intérêt légitime. Chaque interaction de consentement (octroi ou révocation) est enregistrée comme un événement auditable dans le profil client, fournissant une preuve de consentement pour la conformité réglementaire. La plateforme supporte des catégories de consentement granulaires permettant aux clients d'accepter ou de refuser des finalités de traitement spécifiques indépendamment. Le consentement de tracking peut être configuré pour bloquer tout suivi (cookies, ouverture d'emails, notifications push et messages in-app) jusqu'à l'obtention d'un consentement explicite. Pour la conformité avec la décision BGH allemande (mai 2022), Bloomreach propose une configuration de consentement de tracking autonome exigeant un consentement explicite pour le suivi pseudonymisé sur tous les canaux.

Transferts de données et infrastructure

Bloomreach, Inc. a son siège à Mountain View, Californie. L'endpoint API par défaut (api.exponea.com) peut acheminer les données via une infrastructure hors UE. Des instances basées dans l'UE sont disponibles pour les clients nécessitant une résidence des données dans l'Espace Économique Européen. Avec la configuration par défaut, le cookie xnpe_<project-id> est déposé comme cookie tiers sous le domaine api.exponea.com, ce qui peut être atténué en configurant un Custom Tracking Domain (CTD) sous le propre domaine du client. Les transferts internationaux de données nécessitent des Clauses Contractuelles Types (CCT) et des mesures supplémentaires conformément à la décision Schrems II.

Étapes pratiques de mise en conformité

Pour atteindre la conformité RGPD avec Bloomreach : signez un Accord de Traitement des Données (DPA) avec Bloomreach couvrant les CCT pour les transferts internationaux. Réalisez une AIPD avant le déploiement compte tenu des activités de profilage à haut risque. Configurez la gestion du consentement avec des catégories granulaires correspondant à vos finalités de traitement. Intégrez une CMP pour recueillir le consentement avant l'initialisation du SDK Bloomreach. Activez le consentement de tracking pour bloquer tout suivi non essentiel jusqu'à l'obtention du consentement. Configurez un Custom Tracking Domain (CTD) pour convertir les cookies tiers en first-party. Demandez une instance basée dans l'UE pour minimiser les transferts internationaux. Documentez Bloomreach dans votre Registre des Activités de Traitement (RAT). Mettez à jour votre politique de confidentialité et de cookies. Configurez les politiques de rétention et activez le droit à l'effacement (exponea.anonymize()) pour les demandes de droit des personnes.

Categorie de consentement RGPD

Autre

Les sites web utilisant Bloomreach doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent is required before tracking cookies are set and personal data is processed. Bloomreach Engagement supports consent management with granular consent categories (general consent, specific consent, legitimate interest). The platform provides built-in consent tracking, recording each grant or revocation as an auditable event in the customer profile. Legitimate interest can be used for limited processing under documented assessment.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive, TTDSG (Germany), CCPA/CPRA, LGPD (Brazil), PIPL (China)

Considerations AIPD

Une AIPD est fortement recommandée pour les déploiements Bloomreach Engagement en raison de : profilage client étendu et suivi comportemental multi-sessions et multi-appareils, prise de décision automatisée pour la personnalisation et les tests A/B, traitement d'adresses email et d'identifiants clients, suivi cross-device potentiel via la fusion des cookies et identités, transferts de données vers les US (siège de Bloomreach, Inc.), et intégration avec des services tiers. Le volume et la sensibilité des données, combinés aux capacités de profilage, placent la plupart des implémentations dans la catégorie à haut risque au titre de l'article 35 du RGPD.

Exemple de texte de consentement

Nous utilisons Bloomreach Engagement pour personnaliser votre expérience et analyser l'utilisation du site. Bloomreach dépose des cookies de suivi (__exponea_etc__) pour identifier les visiteurs entre les sessions, suivre le comportement de navigation et diffuser du contenu personnalisé. Les données sont traitées par Bloomreach, Inc. (US) dans le cadre de Clauses Contractuelles Types. Consentez-vous à l'utilisation des cookies de suivi Bloomreach à des fins de personnalisation et d'analyse ?

Details techniques

Methode de suiviJavaScript SDK (exponea.min.js) with first-party client-side cookie (__exponea_etc__) and server-side backend cookie (xnpe_<project-id>). Supports web beacons, pixels, A/B testing, web layers, push notifications, and server-side GTM tracking.

Localisation des serveursBloomreach, Inc. is US-headquartered. Bloomreach Engagement infrastructure is hosted in the EU (Germany, Netherlands) and US depending on instance. Default API endpoint is api.exponea.com. Custom Tracking Domain (CTD) can route through client-owned subdomains.

Donnees transferees hors UEBloomreach, Inc. is a US-based company. Data may be transferred to the US depending on the instance configuration and the Bloomreach infrastructure used. EU-based instances are available. Standard Contractual Clauses (SCCs) apply for international transfers. Bloomreach acts as a data processor; the client is the data controller.

Domaines tiers contactes

api.exponea.com*.bloomreach.comdocumentation.bloomreach.comcdn.exponea.com

Cookies deposes

Nom	Type	Duree	Finalite
__exponea_etc__	first-party	3 years (7 days on Safari ITP)	Stores the visitor's unique Bloomreach Engagement identifier (soft ID). Used to track all visitor actions (page views, clicks, purchases, events) and link them to a customer profile across sessions.
__exponea_time2__	first-party	1 hour	Synchronises local browser time with Bloomreach server time to ensure accurate event timestamping.
xnpe_<project-id>	third-party (first-party with CTD)	3 years (default)	Server-side backend cookie set by the Bloomreach API (api.exponea.com). Stores the same visitor identifier as __exponea_etc__ for server-side identity resolution. Becomes first-party when a Custom Tracking Domain (CTD) is configured.
__exponea_ab_test__	first-party	Configurable (default: 3 years)	Stores A/B test variant assignments to ensure visitors see consistent experiment variations across page loads and sessions.

Ce service peut collecter des donnees utilisateur. Assurez votre conformite RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Bloomreach Engagement dépose-t-il ?

Bloomreach Engagement dépose plusieurs cookies : __exponea_etc__ (cookie first-party côté client stockant l'identifiant unique du visiteur, 3 ans par défaut, 7 jours sur Safari en raison de l'ITP), __exponea_time2__ (cookie de synchronisation temporelle, 1 heure), et xnpe_<project-id> (cookie serveur déposé par api.exponea.com, tiers par défaut, convertible en first-party via Custom Tracking Domain). Des cookies supplémentaires peuvent être déposés pour les expériences de tests A/B. L'expiration des cookies est personnalisable via la configuration du SDK.

Le consentement est-il requis avant d'utiliser Bloomreach Engagement ?

Oui. Bloomreach Engagement dépose des cookies de tracking et traite des données personnelles pour le profilage client, la personnalisation et le marketing. En vertu de la directive ePrivacy, un consentement explicite est requis avant de déposer des cookies non essentiels. En vertu du RGPD, le consentement est la base légale appropriée pour les activités de profilage et de marketing de la plateforme. Bloomreach fournit des fonctionnalités de consentement de tracking intégrées qui peuvent bloquer tout suivi jusqu'à l'obtention du consentement.

Quelle est la base légale pour utiliser Bloomreach au titre du RGPD ?

Le consentement est la base légale principale pour Bloomreach Engagement en raison des activités de profilage et de marketing étendues. Bloomreach supporte trois catégories de consentement : consentement général, consentement spécifique et intérêt légitime. L'intérêt légitime peut s'appliquer pour des analyses limitées et non marketing avec une évaluation d'intérêt légitime documentée, mais l'étendue des données traitées par Bloomreach Engagement nécessite généralement le consentement. Chaque événement de consentement est enregistré avec horodatage, source et statut dans le profil client.

Bloomreach transfère-t-il des données vers les États-Unis ?

Potentiellement oui. Bloomreach, Inc. a son siège à Mountain View, Californie. L'endpoint API par défaut (api.exponea.com) peut acheminer les données via une infrastructure US. Des instances basées dans l'UE sont disponibles pour les clients nécessitant une résidence des données dans l'EEE. Pour tout transfert international, des Clauses Contractuelles Types (CCT) doivent être en place dans le cadre du DPA avec Bloomreach. La configuration d'un Custom Tracking Domain (CTD) aide à garder les données de cookies sous le propre domaine du client mais n'élimine pas tous les flux de données vers les US.

Une AIPD est-elle nécessaire pour utiliser Bloomreach Engagement ?

Oui, une AIPD est fortement recommandée et probablement obligatoire pour la plupart des déploiements Bloomreach Engagement. La plateforme effectue des traitements à haut risque : profilage comportemental étendu multi-sessions et multi-appareils, personnalisation automatisée et décisions de tests A/B, fusion d'identité cross-device (cookies soft ID liés aux identifiants hard ID), marketing email et push basé sur le profilage, et transferts internationaux potentiels vers les US. Ces activités relèvent des critères de l'article 35 du RGPD pour une AIPD obligatoire.

Comment mettre en œuvre la conformité RGPD avec Bloomreach ?

Étapes clés : signez un DPA avec Bloomreach incluant les CCT. Réalisez une AIPD. Configurez la gestion du consentement avec des catégories granulaires. Intégrez une CMP pour recueillir le consentement avant le chargement du SDK. Activez le consentement de tracking pour bloquer le suivi non essentiel. Configurez un Custom Tracking Domain (CTD). Demandez une instance UE. Documentez Bloomreach dans votre RAT. Mettez à jour vos politiques de confidentialité et de cookies. Implémentez les processus de droits des personnes avec exponea.anonymize() pour l'effacement et les fonctions d'export pour les demandes d'accès.

Quelles sont les alternatives respectueuses de la vie privée à Bloomreach ?

Les alternatives dépendent du produit Bloomreach à remplacer. Pour l'analytics et CDP : Matomo (open source, auto-hébergé), Piwik PRO (CDP hébergé UE) ou Segment avec résidence des données UE. Pour la personnalisation : Algolia Recommend ou Dynamic Yield avec options de traitement UE. Pour le marketing email : Brevo (basé UE) ou Mailchimp avec traitement des données UE. Aucune plateforme unique ne couvre l'ensemble du périmètre de Bloomreach Engagement tout en offrant le même niveau de protection de la vie privée par défaut.

Comment mettre à jour ma politique de cookies pour Bloomreach ?

Votre politique de cookies doit lister : __exponea_etc__ (persistant, identification visiteur et suivi comportemental, 3 ans par défaut), __exponea_time2__ (session, synchronisation temporelle, 1 heure), xnpe_<project-id> (persistant, suivi visiteur côté serveur, 3 ans par défaut, tiers sous api.exponea.com sauf CTD configuré). Indiquez que Bloomreach traite le comportement de navigation, l'historique d'achats, les informations de l'appareil et relie les sessions anonymes aux profils identifiés. Mentionnez que Bloomreach, Inc. (US) agit comme sous-traitant. Précisez la possibilité de retirer le consentement et le droit de demander l'effacement des données.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min